DDoS攻击工具——TribeFloodNetwork分析.docVIP

　　TFN由客户端程序和守护程序组成。通过提供绑定到TCP端口的root shell控制，实施ICMP flood、SYN flood、UDP flood和Smurf等多种拒绝服务的分布式网络攻击。 　　TFN守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的，这些主机是被攻击者利用RPC服务安全漏洞statd、cmsd和ttdbserverd入侵的。关于这些漏洞的详细资料请参阅CERT事件记录99-04： 　　/incident_notes/IN-99-04.html 　　最初的TFN守护程序来源于一些远程嗅探器(sniffer)和有访问控制的远程命令shell，并可能结合了能自动记录的嗅探器(sniffer)。 　　在研究这个工具包的过程中，捕获到了TFN攻击网络的安装过程及一些源代码。我们就是利用这些捕获到的源代码(根据Makefile，版本为version 1.3 build 0053)和已编译的TFN守护程序二进制代码进入了深入的分析。 　　对这些源代码的任何修改，如提示、口令、命令、TCP/UDP端口号或所支持的攻击方法、签名和具体功能，都可能使分析的结果与本文不同。 　　该守护程序是在Solaris 2.x和Red Hat Linux 6.0上编译并运行。主服务器 (master) 在Red Hat Linux 6.0上编译和运行。但也许守护程序和主服务器都可在其它同类平台中使用。 　　关于这种分布式拒绝服务攻击网络的初始入侵和安装配置过程的分析，请参阅对Trinoo工具的分析。 　　攻击目标 　　------------------------------------------------------------ 　　TFN网络由TFN客户端程序(tribe.c)和TFN守护程序(td.c)组成。一个典型的TFN网络结构如下： 　　+----------+ +----------+ 　　| 攻击者 | | 攻击者 | 　　+----------+ +----------+ 　　| | 　　. . . --+------+---------------+------+----------------+-- . . . 　　| | | 　　| | | 　　+----------+ +----------+ +----------+ 　　| 客户端 | | 客户端 | | 客户端 | 　　+----------+ +----------+ +----------+ 　　| | | 　　| | | 　　. . . ---+------+-----+------------+---+--------+------------+-+-- . . . 　　| | | | | 　　| | | | | 　　+--------+ +--------+ +--------+ +--------+ +--------+ 　　|守护程序| |守护程序| |守护程序| |守护程序| |守护程序| 　　+--------+ +--------+ +--------+ +--------+ +--------+ 　　攻击者常常控制一个或多个TFN客户端，而每一个TFN客户端能控制多个TFN守护程序。所有接收到来自TFN客户端攻击指令的TFN守护程序都使用攻击数据包同时攻击一个或多个目标主机系统。 　　通 讯 　　-------- 　　TFN网络的远程控制通过TFN客户端程序命令行的执行来实现。命令的执行可通过多种连接方法完成(如：绑定到TCP端口的远程shell，基于UDP的客户/服务器远程shell，基于ICMP的客户/服务器远程shell，SSH终端会话，或普通的telnetTCP终端会话等)。 　　TFN客户端程序的运行无需口令，但需要有TFN守护程序端的IP列表文件iplist。 　　从TFN客户端到TFN守护程序端的通讯通过ICMP_ECHOREPLY数据包完成，这样在TFN客户端和TFN守护程序端就根本不会有任何基于TCP或UDP的通讯。(许多网络监视工具不能显示ICMP包的数据部份，或不解析ICMP类型字段，因此很难准确监视到TFN客户端与守护程序端的通讯。请参阅附录A提供的能显示ICMP数据段内容的Sniffit version 0.3.7.beta补丁程序，和附录B提供的能显示ICMP_ECHO和ICMP_ECHOREPLY id和序列号的tcpshow.c 1.0补丁程序。) 　　不指定任何参数或选项运行该程序，会显示该TFN程序相关命令的帮助信息： 　　---------------------------------------------------------------------------